Microsoft Entra ID, trước đây được biết đến với tên gọi Azure Active Directory, là nền tảng quản lý danh tính và truy cập trên nền tảng đám mây, đóng vai trò xương sống cho gần như toàn bộ dịch vụ Microsoft. Tuy nhiên, một lỗ hổng bảo mật nghiêm trọng vừa được phát hiện đã từng khiến hàng triệu khách hàng đứng trước nguy cơ bị xâm nhập.
Lỗ hổng Entra ID và mức độ nguy hiểm
Lỗ hổng, được theo dõi với mã định danh CVE-2025-55241, cho phép kẻ tấn công chiếm quyền kiểm soát bất kỳ tenant Entra ID nào – tức toàn bộ hệ thống danh tính của một tổ chức. Đây được xem như chế độ “god mode” trong tay tin tặc, có thể mở ra khả năng chiếm quyền tài khoản, tạo quản trị viên mới và truy cập không giới hạn vào dữ liệu nhạy cảm.
Người phát hiện ra lỗ hổng là Dirk-jan Mollema, chuyên gia về Azure và Active Directory. Ông chứng minh rằng chỉ từ tenant của mình, ông có thể yêu cầu token xác thực của bất kỳ người dùng Entra ID nào khác. Điều này đồng nghĩa nếu kẻ xấu khai thác thành công, hậu quả sẽ ở mức thảm họa, ảnh hưởng đến hàng triệu khách hàng doanh nghiệp toàn cầu.
Nguồn gốc vấn đề nằm ở việc Entra ID vẫn duy trì một số cơ chế xác thực cũ. Một trong số đó liên quan đến Actor Tokens, vốn thuộc dịch vụ Azure Access Control Service đã lỗi thời. Bên cạnh đó, API Graph của Azure Active Directory cũng bị lợi dụng. Thông qua việc thao túng quy trình xác thực, tin tặc có thể đánh lừa Graph chấp nhận Actor Token từ tenant khác – điều lẽ ra phải bị từ chối.
Michael Bargury, CTO của công ty bảo mật Zenity, nhận định: “Đây là kiểu lỗ hổng nghiêm trọng nhất có thể tìm thấy trong một nhà cung cấp dịch vụ danh tính, vì nó cho phép xâm nhập và kiểm soát hoàn toàn tenant của bất kỳ khách hàng nào.” Ông cho rằng các cơ chế bảo mật sẵn có của Microsoft hoàn toàn không ngăn chặn được cách khai thác này.
Microsoft phản ứng nhanh chóng
Nguy cơ từ lỗ hổng CVE-2025-55241 được nhiều chuyên gia đánh giá ngang hàng với sự cố Storm-0558 vài năm trước, khi một nhóm tin tặc được cho là do Trung Quốc hậu thuẫn đã đánh cắp khóa mã hóa của Entra ID. Sự cố đó từng buộc CEO Satya Nadella khởi động chương trình Secure Future Initiative nhằm tăng cường bảo mật hệ thống.
Trong trường hợp lần này, phản ứng của Microsoft nhanh chóng hơn rất nhiều. Sau khi Mollema gửi báo cáo đến Microsoft Security Response Center vào tháng 7, công ty đã phân tích và triển khai bản vá toàn cầu chỉ trong vòng 3 ngày. Đến tháng 8, các lớp bảo vệ bổ sung cũng được áp dụng. Microsoft đồng thời khẳng định những giao thức xác thực cũ – nguyên nhân gây ra lỗ hổng – sẽ được loại bỏ hoàn toàn trong thời gian tới.
Ý nghĩa với khách hàng và ngành công nghệ
Với hàng triệu doanh nghiệp phụ thuộc vào Microsoft Entra ID để quản lý truy cập và bảo mật dữ liệu, việc phát hiện và xử lý nhanh chóng lỗ hổng này có ý nghĩa sống còn. Nó không chỉ củng cố niềm tin của khách hàng mà còn nhấn mạnh tầm quan trọng của việc giám sát, rà soát và loại bỏ kịp thời các công nghệ lỗi thời.
Tuy lỗ hổng đã được khắc phục, sự kiện này vẫn là lời nhắc nhở rằng ngay cả những nền tảng quan trọng và phổ biến nhất cũng không thể an toàn tuyệt đối. Đối với các doanh nghiệp, việc cập nhật bảo mật thường xuyên, giám sát truy cập và áp dụng các chuẩn an toàn mới nhất vẫn là chiến lược cần thiết để bảo vệ hệ thống trước những mối đe dọa ngày càng tinh vi.